Microsoft Defender for Identity valvotut toiminnot
Microsoft Defender for Identity valvoo organisaatiosi Active Directorysta luotuja tietoja, verkkotoimintoja ja tapahtumatoimintoja epäilyttävän toiminnan havaitsemiseksi. Valvotun toiminnan tietojen avulla Defender for Identity voi auttaa sinua määrittämään jokaisen mahdollisen uhan oikeellisuuden ja määrittämään oikein ja vastaamaan.
Jos kyseessä on kelvollinen uhka tai tosi positiivinen, Defender for Identityn avulla voit selvittää jokaisen tapahtuman tietomurron laajuuden, tutkia, mitkä entiteetit ovat osallisena, ja määrittää, miten ne korjataan.
Defender for Identityn valvomat tiedot esitetään aktiviteettien muodossa. Defender for Identity tukee tällä hetkellä seuraavien toimintotyyppien seurantaa:
Huomautus
- Tämä artikkeli koskee kaikkia Defender for Identity -anturityyppejä.
- Defender for Identityn valvotut toiminnot näkyvät sekä käyttäjä- että koneprofiilisivulla.
- Defender for Identityn valvotut toiminnot ovat käytettävissä myös Microsoft Defender XDR lisämetsästyssivulla.
Vihje
Jos haluat yksityiskohtaisia tietoja kaikista tuetuista tapahtumatyypeistä (ActionType
arvoista) kehittyneen metsästyksen tunnistetietotaulukoissa, käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Valvotut käyttäjätoiminnot: käyttäjätilin AD-määritteiden muutokset
Valvottu toiminta | Kuvaus |
---|---|
Tilin rajoitetun delegoinnin tila muutettu | Tilin tila on nyt käytössä tai poistettu käytöstä delegointia varten. |
Tilin rajoitetun delegoinnin spn:t muutettu | Rajoitettu delegointi rajoittaa palveluita, joihin määritetty palvelin voi toimia käyttäjän puolesta. |
Tilin delegointia muutettu | Tilin delegointiasetusten muutokset. |
Tili poistettu käytöstä muutettu | Ilmaisee, onko tili poistettu käytöstä vai käytössä. |
Tili on vanhentunut | Päivämäärä, jolloin tili vanhenee. |
Tilin vanhentumisaika muutettu | Vaihda päivämääräksi, jolloin tili vanhenee. |
Tili lukittu muutettu | Tilin lukitusasetusten muutokset. |
Tilin salasana muutettu | Käyttäjä on vaihtanut salasanansa. |
Tilin salasana on vanhentunut | Käyttäjän salasana on vanhentunut. |
Tilin salasanaa ei koskaan muuteta | Käyttäjän salasanaa ei ole vaihdettu vanhenemaan. |
Tilin salasanaa ei ole muutettu | Käyttäjätili muutettiin sallimaan kirjautuminen sisään tyhjällä salasanalla. |
Tilin älykortti pakollinen muutos | Tilin muutokset edellyttävät, että käyttäjät kirjautuvat laitteeseen älykortin avulla. |
Tilin tukemat salaustyypit muutettu | Kerberoksen tukemia salaustyyppejä muutettiin (tyypit: Des, AES 129, AES 256). |
Tilin lukituksen avaaminen on muuttunut | Tilin lukituksen poistamisen asetuksiin tehdyt muutokset. |
Tilin upn-nimi muutettu | Käyttäjän päänimi muutettiin. |
Ryhmän jäsenyyttä muutettu | Toinen käyttäjä tai hän itse lisäsi tai poisti käyttäjän ryhmään tai ryhmästä. |
Käyttäjän sähköposti muutettu | Käyttäjien sähköpostimääritettä muutettiin. |
Käyttäjien hallintaa muutettu | Käyttäjän esimiehen määritettä muutettiin. |
Käyttäjän puhelinnumero muutettu | Käyttäjän puhelinnumeromääritettä muutettiin. |
Käyttäjän otsikkoa muutettu | Käyttäjän otsikkomääritettä muutettiin. |
Valvotut käyttäjän toimet: AD-suojauksen päänimen toiminnot
Valvottu toiminta | Kuvaus |
---|---|
Käyttäjätili luotu | Käyttäjätili luotiin. |
Tietokonetili luotu | Tietokonetili luotiin. |
Suojausobjekti poistettu muutettu | Tili poistettiin tai palautettiin (sekä käyttäjä että tietokone). |
Suojausobjektin näyttönimi muutettu | Tilin näyttönimi muutettiin X:stä Y:ksi. |
Suojauksen päänimi muutettu | Tilin nimen määritettä muutettiin. |
Suojauksen päänimen polkua muutettu | Account Distinguished -nimi muutettiin X:stä Y:ksi. |
Suojauksen päänimi Sam-nimi muutettu | SAM-nimi on muutettu (SAM on kirjautumisnimi, jota käytetään tukemaan käyttöjärjestelmän aiempia versioita käyttäviä asiakkaita ja palvelimia). |
Valvotut käyttäjätoiminnot: Toimialueen ohjauskoneeseen perustuvat käyttäjätoiminnot
Valvottu toiminta | Kuvaus |
---|---|
Hakemistopalvelun replikointi | Käyttäjä yritti replikoida hakemistopalvelun. |
DNS-kysely | Toimialueen ohjauskonetta vastaan suoritetun kyselyn käyttäjätyyppi (AXFR,TXT, MX, NS, SRV, ANY, DNSKEY). |
gMSA Salasanan noutaminen | gMSA-tilin salasanan on noutanut käyttäjä. Tapahtuma 4662 on kerättävä tämän toiminnan seuraamiseksi. Lisätietoja on kohdassa Windowsin tapahtumakokoelman määrittäminen. |
LDAP-kysely | Käyttäjä suoritti LDAP-kyselyn. |
Mahdollinen sivusuuntainen liike | Sivuttainen liike tunnistettiin. |
PowerShellin suorittaminen | Käyttäjä yritti suorittaa PowerShell-menetelmän etäyhteydellä. |
Yksityisten tietojen noutaminen | Käyttäjä yritti tai onnistui tekemään kyselyn yksityisiin tietoihin LSARPC-protokollan avulla. |
Palvelun luominen | Käyttäjä yritti etäyhteyden kautta luoda tietyn palvelun etäkoneeseen. |
SMB-istunnon luettelointi | Käyttäjä yritti luetteloida kaikki käyttäjät avoimilla SMB-istunnoilla toimialueen ohjauskoneissa. |
SMB-tiedostokopio | Käyttäjä kopioi tiedostoja SMB:n avulla. |
SAMR-kysely | Käyttäjä suoritti SAMR-kyselyn. |
Tehtävän ajoitus | Käyttäjä yritti ajoittaa X-tehtävän etäkoneeseen. |
Wmi-suoritus | Käyttäjä yritti suorittaa WMI-menetelmän etäyhteydellä. |
Valvotut käyttäjätoiminnot: Kirjautumistoiminnot
Lisätietoja on kohdassa Taulukon tuetut kirjautumistyypitIdentityLogonEvents
.
Valvotut koneaktiviteetit: Tietokonetili
Valvottu toiminta | Kuvaus |
---|---|
Tietokoneen käyttöjärjestelmä muuttunut | Vaihda tietokoneen käyttöjärjestelmään. |
SID-History muutettu | Tietokoneen SID-historian muutokset. |